web安全测试规范v13

(68页)

'web安全测试规范v13'
安全测试工作规范文件状态[]草稿[丁]正式发布[]正在修改当前版本VI. 0拟制H期2014-03-04审核日期批准日期深圳市XX有限公司二O—四年三月 修订历史记录A -增加M -修订D -删除变更版本号II期变更类型(A*M*D)修改人摘 燮备注VI. 32014-03-04M修改文档,按照公司目前实际情况进行调整1 概述 51. 1 背景简介 51.2 适用读者 51.3 适用范围 51.4 安全测试在项目整体流程中所处的位置 61.5 安全测试在安全风险评估的关系说明 61.6 注意事项 61.7 测试用例级别说明 72 Web安全测试方法 82. 1 安全功能验证 82. 2 漏洞扫描 82.3 模拟攻击实验 82.4 侦听技术 83 Appscan工具介绍 93. 1 AppScan 工作原理 93. 2 AppScan 扫描段 103. 3 AppScan 工具使用 113. 4 AppScan工具测试覆盖项说明 错误!未定义书签。4 测试用例和规范标准 194. 1 输入数据测试 204. 1. 1 SQL注入测试 204. 1.2 命令执行测试 254.2 跨站脚本攻击测试 264. 2. 1 GET方式跨站脚本测试 284. 2. 2 POST方式跨站脚本测试 294. 2. 3 跨站脚本工具实例解析 错误!未定义书签。4.3 权限管理测试 错误!未定义书签。4. 3. 1 横向测试 错误!未定义书签。4.3.2 纵向测试 错误!未定义书签。4.4 服务器信息收集 错误!未定义书签。4. 4.1 运行账号权限测试 错误!未定义书签。4. 4. 2 Web服务器端口扫描 错误!未定义书签。4.5 文件、目录测试 错误!未定义书签。4. 5.1 工具方式的敏感接口遍历 错误!未定义书签。4. 5. 2 目录列表测试 错误!未定义书签。4.5.3 文件归档测试 错误!未定义书签。4.6 认证测试 错误!未定义书签。4. 6. 1 验证码测试 错误!未定义书签。4. 6. 2 认证错误提示 错误!未定义书签。4. 6.3 锁定策略测试 错误!未定义书签。4. 6. 4 认证绕过测试 错误!未定义书签。4.6.5 修复密码测试 错误!未定义书签。4. 6. 6 不安全的数据传输 错误!未定义书签。4. 6.7 强口令策略测试 错误!未定义书签。4.7 会话管理测试 错误!未定义书签。4. 7.1 身份信息维护方式测试 错误!未定义书签。4. 7. 2 Cookie存储方式测试 错误!未定义书签。4. 7. 3 用户注销登陆的方式测试 错误!未定义书签。4. 7. 4 注销时会话信息是否清除测试 错误!未定义书签。4.7.5 会话超时时I'可测试 错误!未定义书签。4. 7. 6 会话定置测试 错误!未定义书签。4.8 文件上传下载测试 错误!未定义书签。4. & 1 文件上传测试 错误!未定义书签。4. & 2 文件下载测试 错误!未定义书签。4.9 信息泄漏测试 错误!未定义书签。4. 9. 1 连接数据库的账号密码加密测试 错误!未定义书签。4.9.2 客户端源代码敏感信息测试 错误!未定义书签。4. 9.3 客户端源代码注释测试 错误!未定义书签。4.9.4 异常处理 错误!未定义书签。4. 9. 5 不安全的存储 错误!未定义书签。4.10 逻辑测试 错误!未定义书签。4. 11 其他 错误!未定义书签。4. 11. 1 Class文件反编译测试 错误!未定义书签。5 本规范所涉及的测试工具 错误!未定义书签。1概述1.1背景简介为了规避安全风险、规范代码的安全开发,以及如何系统的进行安全性测试, 目前缺少相应的理论和方法支撑。为此,我们制定《安全测试规范》,本规范可 让测试人员针对常见安全漏洞或攻击方式,系统的对被测系统进行快速安全性测 试。1. 2适用读者木规范的读者及使用对象主要为测试人员、开发人员等。1?3适用范冃本规范主要针对基于通用服务器的Web应用系统为例,其他系统也可以参考。 如下图例说明了一种典型的基于通用服务器的Web应用系统:本规范中的方法以攻击性测试为主。除了覆盖业界常见的Web安全测试方法 以外,也借鉴了一些业界最佳安全实践。1. 4安全测试在项目整体流程中所处的位置一般建议在集成测试前根据产品实现架构及安全需求,完成安全性测试需求 分析和测试设计,准备好安全测试用例。在集成版本正式转测试后,即可进行安全测试。如果产品质量不稳定,前期 功能性问题较多,则可适当推后安全测试执行。1. 5安全测试在安全风险评估的关系说明安全风险是指威胁利用漏洞对目标系统造成安全影响的可能性及严重程度。 其中威胁是指可能对目标系统造成损害的潜在原因,包括物理环境威胁、人为威 胁等。漏洞也称弱点,是应用系统本身存在的,包括系统实现中的缺陷、配置中 的漏洞等。外部威胁利用系统的漏洞达到破坏系统安全运行的目的。本规范所描述的安全测试仅是安全风险评估屮的一个活动,对应于安全风险 评估过程中的漏洞识别部分,特别是技术性的漏洞识别。完整的安全风险评估过程、概念见GB/T 20984-2007《信息安全技术 信息 安全风险评估规范》。1. 6注意事项>安全测试的执行,对于被测系统,或多或少都会存在一些影响(比如性 能、垃圾数据),只能在测试环境中进行;不允许在正式环境运行,避免 系统存在漏洞导致丢失数据和数据库损坏。>本规范最主要目的是为了发现安全漏洞,至于发现一个漏洞以后更深一 步的渗透测试在这里不会涉及。例如针对暴力破解测试,我们只给岀验 证存在暴力破解漏洞的可能,但不会提供暴力破解的方法。>本文档中所有提及的测试工具的使用,请遵循公司相关规定。>如果是内部试验环境进行测试,可以考虑去除一些防护措施或设备(如 防火墙),这样能保证发现问题的全面性。>本文档根据最严格的方式对目标进行测试,如果项目系统对安全的要求不高且有自身的安全策略规定时,可以视情况对测试项进行部分测试。例如密码策略测试项中,测试人员可以根据测试目标的密码位数要求进 行测试,而不需要完全依照测试项里面规定的位数进行测试。1. 7测试用例级别说明一个安全漏洞的风险程度受危害程度和概率的影响,我们定义了如下所示的关系:表1风险等级界定表本测试规范用例根据上面的定义分为四个测试级别:测试用例级别说明一级基本:漏洞,该类用例涉及可能导致风险程度为高的安全 在任何情况下都必须进行测试。
关 键 词:
web 安全 测试 规范 v13
 天天文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
关于本文
本文标题:web安全测试规范v13
链接地址: https://www.wenku365.com/p-43446186.html
关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服点击这里,给天天文库发消息,QQ:1290478887 - 联系我们

本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有【成交的100%(原创)】。本站是网络服务平台方,若您的权利被侵害,侵权客服QQ:1290478887 欢迎举报。

1290478887@qq.com 2017-2027 https://www.wenku365.com 网站版权所有

粤ICP备19057495号 

收起
展开